DQS im Dialog
DQS Website Abonnieren

Datenschutz und Informationssicherheit – mit ISO 27001 und ISO 27701

Die Internationale Organisation für Normung (ISO) hat 2019 eine Norm veröffentlicht, in der sie ein allgemeines Datenschutzmanagementsystem (DSMS) vorschlägt. ISO/IEC 27701:2019 beschreibt ein DSMS auf der Grundlage eines Informationssicherheits-Managementsystems (ISMS). Diese spezielle Form des DSMS wird als Personal Information Management System (PIMS) bezeichnet. Im Folgenden werden die Grundlagen für dieses PIMS beschrieben. Und: Es wird herausgearbeitet, welche fünf Hauptvorteile ein Einsatz des PIMS für Unternehmen bietet.
© iStock Datenschutz und Informationssicherheit – mit ISO 27001 und ISO 27701 Fehler vermeiden

Auch im Kontext von Datenschutz und Informationssicherheit ist Datenschutz kein einmaliges Projekt, welches begonnen, durchlaufen und abgeschlossen wird. Genau das Gegenteil ist der Fall. Der betriebliche Datenschutz ist eine Anzahl an Datenschutzprozessen, die in Organisationen permanent verfügbar und umsetzbar beziehungsweise durch einen Trigger auslösbar sein müssen. Wichtige Beispiele dafür sind die beiden Datenschutzprozesse „Betroffenenrechte gewährleisten“ oder „auf Datenschutzvorfälle reagieren“.

In der Datenschutz-Fachwelt wird der Einsatz eines Datenschutzmanagementsystems (DSMS) als der große Wurf zur Lösung der Datenschutzprobleme von Unternehmen angesehen. Warum ist das so? Die Antwort ist relativ einfach:

Ein Datenschutzmanagementsystem ist der Rahmen und der Motor des betrieblichen Schutzes von Daten, der in Organisationen permanent eingehalten werden muss.

Die Datenschutz-Grundverordnung (DS-GVO) gibt lediglich die Regeln für das DSMS vor. Sie formuliert, was erlaubt oder verboten ist (Business Rules). Sie trifft aber keine Aussage, wie die Umsetzung der gesetzlichen Datenschutzanforderungen zu erfolgen hat.

Datenschutz und Informationssicherheit: Was ist überhaupt ein Managementsystem?

Die Definition eines Managementsystems (MMS) ist abstrakt und kann ad hoc nicht operationalisiert werden. In DIN EN ISO/IEC 27000:2020 wird ein Managementsystem definiert als ein „Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation (3.50), um Politiken (3.53), Ziele (3.49) und Prozesse (3.54) zum Erreichen dieser Ziele festzulegen“.

Erst wenn die Elemente eines Managementsystems näher definiert sind, kann eine Aussage darüber getroffen werden, ob die gesetzlichen und betrieblichen Datenschutzanforderungen der DS-GVO mit dem konkret vorliegenden Managementsystem erfüllt werden. Die Aussage, dass ein Datenschutzmanagementsystem betrieben wird, gibt weder einen Hinweis auf die Qualität des DSMS noch auf den Umsetzungsstand.

Die High Level Structure als Blaupause für Managementsysteme

Die Internationale Organisation für Normung hat eine Blaupause für Managementsysteme erstellt, die sogenannte High Level Structure (HLS). Die HLS beinhaltet alle Elemente, die aus Sicht der ISO für ein Managementsystem, relevant sind (Appendix 2 zum Annex SL der ISO/IEC Directives, Part 1). Aus diesem Grund ähneln sich die grundlegenden Mechanismen der ISO-Managementsystemnormen stark.

Das spezifische DSMS der ISO, das Personal Information Management System (PIMS), hat also die identische Basis wie ein Qualitätsmanagementsystem nach ISO 9001, ein Umweltmanagementsystem nach ISO 14001 oder ein Informationssicherheits-Managementsystem nach ISO 27001.

Datenschutz und Informationssicherheit: Integration der DS-GVO in ein Managementsystem

Ein PIMS nach ISO/IEC 27701:2019 ist universell und nicht auf die Datenschutz-Grundverordnung zugeschnitten. Es ist geeignet, jeglichen betrieblichen Schutz personenbezogener Daten umzusetzen, also auch das kalifornische oder japanische Datenschutzrecht. Durch die Erkennung und Einbindung spezifischer Datenschutzanforderungen erreicht das PIMS Konformität mit der DS-GVO. Dies geschieht durch den MMS-Mechanismus des Anforderungsmanagements. Als Anforderungsmanagement wird die Erkennung und Bewertung von internen und externen Anforderungen und Umsetzung von Maßnahmen zur Risikobehandlung bezeichnet.

Übergangsfristen ISO-Normen DQS Webinare

Webinaraufzeichnung

ISO 27701: Nachweis zur Umsetzung datenschutzrechtlicher Vorschriften

✓ Wie ist der Zusammenhang zwischen der DS-GVO und ISO-Normen?
✓ Was hat es mit der ISO 27701 auf sich?
✓ Welche Anforderungen werden an ein DSMS gestellt?

Jetzt kostenfrei anmelden…

ISO 27701 – Fünf Vorteile eines Datenschutzmanagements

Im Wechselspiel von Datenschutz und Informationssicherheit ist eine Norm immer als ein Best-Practice zu verstehen. Die konkrete Umsetzung der Anforderungen und Maßnahmen für Datensicherheit ist durch den Anwender vorzunehmen.

Allgemeiner Vorteil des PIMS ist die weltweite Vereinheitlichung durch die Norm und die umfangreiche Literatur zur Normumsetzung. Zugegebenermaßen ist die Normensprache „gewöhnungsbedürftig“.

Vorteil 1: Zuweisung von Verantwortlichkeiten

Es scheint bei kleinen und mittelständischen Unternehmen (KMU) schon fast Unternehmenskultur, Verantwortung unklar oder gar nicht zuzuordnen. Es ist zu beobachten, dass in vielen Unternehmensrichtlinien die Verantwortung für gewisse Tätigkeiten oder Assets nicht klar definiert und adressiert wird. Dies ist ein großes Manko und führt im Betrieb zu Lücken und Fehlern.

ABER: Der Schutz von Daten ist ein „Teamsport“. Nur wenn alle Aufgaben identifiziert und den Verantwortlichen zugewiesen sind, und nur, wenn diese Personen ihre Aufgaben auch erfüllen, kann eine Organisation datenschutz-compliant agieren.

Verantwortung verteilen ist gut. Verantwortung wahrnehmen ist besser.

Durch die Einführung eines PIMS muss für den Anwendungsbereich der Norm das Eigentümerprinzip in die Organisation eingeführt werden. Der Begriff Eigentümer ist hier aber nicht in seiner zivilrechtlichen Bedeutung zu begreifen. Vielmehr wird im Normendeutsch mit Eigentümer die Verantwortung einer Person für ein Asset oder die Umsetzung einer Anforderung oder Maßnahme bezeichnet.

Beispiel: Häufig wird das Führen des „Verzeichnisses der Verarbeitungstätigkeiten (VVT)“ an den Datenschutzbeauftragten (DSB) delegiert. Dies ist natürlich kompletter Unsinn und kann auch nicht funktionieren, da der DSB häufig in vielen Verarbeitungstätigkeiten gar nicht involviert ist. Im Qualitätsmanagement führen die Prozessverantwortlichen die Prozessdokumentationen durch. Die oberste Leitung sollte dies analog auch im Datenschutz entsprechend delegieren.

Vorteil 2: Der betriebliche Datenschutz wird risikoorientiert

Der europäische Gesetzgeber fordert in der DSGVO eine risikoorientierte Umsetzung des Datenschutzes, zum Beispiel in Artikel 32 Abs. 1 DSGVO. Diese Risikoorientierung funktioniert häufig nicht in Unternehmen, in denen offiziell kein Managementsystem installiert ist. Durch die Anwendung der Datenschutznorm ISO 27701 wird zwangsläufig auch die Risikoorientierung eingeführt. Dabei ist die Methode zur Risikobewertung von Datensicherheit nicht vorgeschrieben und kann – in Grenzen – durch den Anwender festgelegt werden.

Vorteil 3: Änderungsmanagement (Change Management) als Erfolgskomponente

Auslöser von Datenschutzprozessen kann eine Änderung in der Organisation sein. Zum Beispiel die Einführung oder Anpassung eines Geschäftsprozesses, einer Dienstleistung oder eines Produktes. Unternehmen ohne Änderungsmanagement haben große Probleme, die datenschutzrechtlichen Anforderungen einzuhalten, da der Umgang mit Änderungen regelmäßig zufällig und ungesteuert geschieht. Es entsteht eine sogenannte Regelungslücke.

Unternehmen und Organisationen verändern sich ständig. Change Management spielt auch beim Schutz von Daten eine wichtige Rolle.

Ein PIMS erfasst und steuert diese Änderungen mit Hilfe eines Änderungsmanagements und setzt sie um. Die Änderung eines Geschäftsprozesses bedingt zum Beispiel die Prüfung der Zulässigkeit (Rechtmäßigkeit, Datensparsamkeit, Betroffenenrechte, Dokumentation im VVT, etc.).

Beispiel: Die Anforderung der frühzeitigen Einbindung des Datenschutzbeauftragten bei der Gestaltung von Änderungen wird ganz einfach erreicht, indem er in das Change-Team berufen wird.

Vorteil 4: Optimierung durch kontinuierlichen Verbesserungsprozess

Unternehmen verändern sich permanent. Ein PIMS wird initial geplant, umgesetzt und betrieben. Sehr wahrscheinlich wird der erste Versuch der Einführung, Umsetzung und des Betriebes eines PIMS suboptimal sein, da die Erfahrungen in den Unternehmen fehlen, auch wenn bei der Einführung ein erfahrener Berater konsultiert wird.

Prämisse: Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten.

Zwar verfügen alle PIMS prinzipiell über die identischen Mechanismen, die aber unterschiedlich ausgestaltet sind. Einfluss auf die Umsetzung der Mechanismen können die Größe der Organisation, die Organisationskultur oder auch der Branchenschwerpunkt sein.

Ein guter Teilmechanismus, um das PIMS permanent an die wechselnden Bedürfnisse der Organisation und interessierten Parteien anzupassen, ist der fortlaufende Verbesserungsprozess (KVP).

Beispiel: Die Datenschutz-Grundverordnung verlangt ein Informationsblatt, in dem Kunden oder etwa Bürger zum Zeitpunkt der Erhebung von Daten über die Art und den Umfang der Verarbeitung von personenbezogenen Daten und damit zusammenhängenden Rechten informiert werden. Diese Informationsblätter nach Artikel 13 und 14 DS-GVO werden zwar rechtskonform veröffentlicht, allerdings gibt es von den Betroffenen viele Nachfragen zu diesen Informationen. Das Unternehmen erkennt durch die Aufnahme dieser Verbesserungsvorschläge, dass es durch die Optimierung der Veröffentlichung der Informationen Ressourcen einsparen und die Kundenzufriedenheit erhöhen kann.

Vorteil 5: Ausführlicher Maßnahmenkatalog

Wie schon beschrieben, ist ISO 27701 nicht auf die DS-GVO zugeschnitten. Für die Ergänzung des PIMS um die spezifischen Anforderungen der DS-GVO ist der Normanwender verantwortlich.

Die neue Norm bringt aber drei umfangreiche Maßnahmenkataloge zur allgemeinen Umsetzung des betrieblichen Datenschutzes mit:
– technische und organisatorische Maßnahmen,
– Datenschutzorganisation beim Verantwortlichen und
– Datenschutzorganisation beim Auftragsverarbeiter.

Die gute Nachricht für den Europäischen Anwender ist, dass sich die Autoren der neuen Norm bei der Gestaltung der Maßnahmenkataloge stark nach der Datenschutz-Grundverordnung gerichtet haben. Daher können durch die Anwendung der generischen Maßnahmenkataloge bereits viele Anforderungen der DS-GVO abgebildet werden. Fehlende Anforderungen werden dann durch das Anforderungsmanagement nachgeführt.

Die Maßnahmen sind Best-Practices zur Umsetzung und im Stil einer Anleitung verfasst. Im Gegensatz zur DS-GVO (Business Rules) wird dem Anwender der Norm bei den Maßnahmen erläutert, wie eine Umsetzung zu erfolgen hat. Aus Sicht des Autors bedeutet dies einen sehr großen Vorteil.

Fazit: Datenschutz und Informationssicherheit

Mit Blick auf Datenschutz und Informationssicherheit ist ISO/IEC 27701:2019 das lang ersehnte Handbuch zur Umsetzung der DS-GVO.

Richtig angewendet, können durch die Norm viele Fehler bei der Einführung und dem Betrieb eines PIMS vermieden werden. Eine Zertifizierung des PIMS wird aber nur möglich sein, wenn vom Unternehmen auch ein zertifiziertes Informationssicherheits-Managementsystem nach ISO 27001 betrieben wird.

Die DQS – der richtige Partner an Ihrer Seite

ISO-Managementsystemnormen bieten einen systematischen und strukturierten Rahmen, gesetzliche Verpflichtungen zu berücksichtigen und in die Geschäftsprozesse zu integrieren. Unternehmen, die auf Nummer Sicher gehen wollen, können den Status ihrer Informationssicherheit oder DS-GVO-konformen Umsetzung zudem von einer unabhängigen Stelle wie der DQS auditieren lassen.

Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihres Unternehmens. Zugleich ist ein zertifiziertes Managementsystem für Informationssicherheit der Nachweis für die Sorgfalt und Weitsicht Ihres Unternehmens für den Fall von externen Datenangriffen. Sie haben Fragen? Wir freuen uns auf das Gespräch mit Ihnen. Jetzt Kontakt aufnehmen.